dimanche, octobre 03, 2004

Le nouveau métier qui arrive: CPD

NAISSANCE D’UNE NOUVELLE FONCTION AU SEIN DES ENTREPRISES : LE CORRESPONDANT A LA PROTECTION DES DONNEES (CPD)

Dans sa version votée par l’Assemblée nationale le 29 avril dernier, la loi n°78-17 du 6 janvier 1978 modifiée par la loi n° 2004-801 du 6 août 2004, transposant (enfin) les dispositions de la directive communautaire du 24 octobre 1995, dispense les entreprises d’effectuer une déclaration préalable de traitement des fichiers auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) si elles ont désigné un correspondant à la protection des données (article 22 de la loi modifiée). La fonction du correspondant à la protection des données (CPD) consiste à assurer de manière indépendante, le respect des obligations imposées par la loi modifiée en matière de traitement des données à caractère personnel.

Cette indépendance ne confère pas une protection au sens des dispositions du Code du travail. Le législateur a toutefois entendu préciser que le CPD ne pourra faire l’objet de sanctions du fait de l’accomplissement de sa mission. Sa désignation devra en tout état de cause être portée à la connaissance des instances représentatives du personnel. Dans le cadre de l’exécution de ses fonctions, il devra notamment établir et tenir à jour la liste de l’ensemble des fichiers faisant l’objet d’un traitement au sein de l’entreprise.

Or chaque entreprise est nécessairement concernée puisque la loi (article 2 de la loi modifiée) définit le traitement de données à caractère personnel comme toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.

Le CPD sera l’interlocuteur de la CNIL qu’il devra saisir dès lors qu’il constatera des difficultés dans l’exécution de sa mission. Dans un premier temps, la CNIL devra être informée de la désignation du CPD de chaque entreprise, pourra demander à ce qu’il soit déchargé de ses fonctions si elle estime qu’il ne remplit pas les obligations qui lui incombent.

Un décret d’application en Conseil d’Etat sera prochainement pris afin de définir les compétences requises pour un tel poste. Enfin, si la CNIL lors d’une enquête constate des infractions à la législation applicable en matière de protection des données à caractère personnel, elle pourra user de sa faculté nouvelle de prononcer des sanctions et sanctionner le CPD non diligent.

Pour mettre en place ce dispositif les exonérant d’effectuer des déclarations préalables (sauf pour les flux transfrontaliers hors Union Européenne), les entreprises pourront procéder de diverses façons :

• soit recruter un CPD devant assumer ces fonctions spécifiques ce qui représente une charge supplémentaire pour l’entreprise ;
• soit confier cette mission à un salarié, ce qui aura pour effet de le mettre en relation directe avec la direction générale ;
• soit sous-traiter cette fonction à une société tierce.

Le CPD devra être formé et parfaitement à jour des dispositions applicables en la matière. Il devra également faire preuve d’une résistance à toute épreuve puisqu’il sera sans cesse confronté à sa hiérarchie et au risque que la CNIL sollicite qu’il soit déchargé de ses fonctions et donc licencié. Le décret d’application à venir nous révèlera sans doute le profil de ce CPD mi-informaticien mi-juriste qui devra accepter une mission pouvant s’avérer délicate.

Désignation obligatoire ou facultative du CPD

L’Allemagne a une grande expérience de ce système, qui préexistait largement à l’adoption de la directive 95/46, laquelle s’est d’ailleurs inspiré de l’expérience allemande sur ce point. La désignation d’un délégué à la protection des données y est obligatoire dans différents cas, limitativement énumérés par la loi :

Dans le secteur privé
- si le responsable de traitement emploie au moins 5 personnes pour traiter des données personnelles de manière automatisée (ou au moins 20 personnes pour des traitements non automatisés) ;
- si le responsable de traitement met en œuvre des traitements soumis à autorisation préalable ;
- si le responsable de traitement est une société d’un type particulier, visant en particulier les sociétés de marketing direct ou de credit referencing (c'est à dire des sociétés fournissant des informations personnelles pour la finalité d’octroi de crédit, entre autres).

Dans le secteur public fédéral
- si le responsable de traitement met en œuvre des traitements automatisés, quelque soit le nombre de personnes employées ;
- si le responsable de traitement emploie au moins 20 personnes pour des traitements non automatisés de données ;
Il est alors possible aux autorités fédérales de nommer un seul délégué pour plusieurs départements ou organismes publics.

Dans le secteur public au niveau des Länder
Ce sont les lois locales qui régissent la question : (1) la majorité des lois de protection des données personnelles des Länder impose la désignation d’un CIL dans chaque autorité locale, quelque soit le nombre de personnes employées, et (2) il est loisible aux petites collectivités locales de se regrouper pour désigner un CIL commun.

En Suède et aux Pays-Bas, la nomination d’un tel délégué est optionnelle. La loi dispose alors expressément que cette nomination ne préjuge en rien des compétences et des pouvoirs détenus par l’autorité de protection des données.

Aux Pays-Bas, par ailleurs, il est possible qu’une organisation professionnelle regroupant plusieurs organisations (ex : syndicat professionnel) désigne un CPD qui soit compétent pour l’ensemble de cette branche. Le succès de ce système aux Pays-Bas a par ailleurs poussé les CPD à créer leur propre syndicat professionnel, qui a établi ses propres standards que les CPD sont tenus d’appliquer dans leurs organisations, et qui est devenu un interlocuteur quotidien de l’autorité de protection des données.

Il ressort de la comparaison des différentes situations existantes que le choix d’un système de désignation optionnelle est préférable à un système obligatoire : hormis l’attrait indéniable que présente cette désignation, qui permet de ne plus avoir à notifier les traitements à l’autorité de protection, les organisations qui choisissent de désigner un CPD le font en règle générale dans un esprit d’ouverture et de sensibilisation aux questions de protection des données personnelles ; cet état d’esprit offre a priori de meilleures garanties de qualité de travail aux CPD que si leur désignation ne résultait que de la volonté de remplir une obligation légale sans conviction quant à sa justification.

Statut du CPD

Dans tous les cas, le CPD doit être une personne possédant les qualifications nécessaires à l’exercice de ses fonctions, qu’il doit pouvoir exercer en toute indépendance. Le délégué ne reçoit, dans le cadre de l’exercice de ses fonctions, aucune instruction de la part du responsable de traitement ou de l’organisation qui l’a désigné. Le responsable de traitement doit également accorder au CPD les moyens matériels nécessaires à l’exercice de ses fonctions (en terme de personnel, de ressources, d’équipement, etc.).

La loi allemande prévoit par ailleurs que le CPD doit être rattaché directement au directeur de la société ou de l’organisation ; il ne peut être ni le chef de l’organisation, ni son administrateur système, ni son directeur des ressources humaines. L’objectif est d’éviter les conflits d’intérêt sur les projets mis en œuvre par le responsable de traitement.

Dans le secteur privé il est autorisé que le CPD soit une personne extérieure à l’entreprise ; cela n’est admis pour les organisations du secteur public que dans la mesure où la personne travaille dans un autre organisme remplissant une mission de service public.

Le CPD ne peut être révoqué que pour des raisons importantes ; dans le secteur privé cette révocation peut avoir lieu à la demande de l’autorité de protection des données compétente.

La loi néerlandaise consacre également un système de salarié protégé. Elle dispose d’ailleurs que les délégués disposent, pour accomplir leur mission, de compétences équivalentes à celles prévues par les dispositions de loi générale de réglementation de l’administration traitant des pouvoirs des autorités de contrôle administratives et des conditions dans lesquelles ces autorités peuvent exercer ces pouvoirs (ex. : obligation de coopération des personnes approchées par l’autorité, pouvoir d’enquête, droit de perquisition, etc.).

Le délégué est soumis au secret professionnel et a l’obligation de considérer comme confidentielle toute information portée à sa connaissance à l’occasion d’une plainte ou de la demande d’une personne concernée, à moins que la personne ne consente au fait de rendre ces informations publiques.

Existence d’un registre central des CPD

Contrairement au choix du législateur allemand, qui n’a pas imposé aux responsables de traitement l’obligation de notifier le nom du CPD qu’ils ont désignés aux autorités de protection des données personnelles (et où par conséquent il est, de l’aveu des autorités allemandes, difficile de savoir si les responsables de traitement ont bien respecté leur obligation de désignation ou pas), le législateur néerlandais a imposé cette obligation d’information des autorités après désignation d’un CPD. Il ne peut d’ailleurs prendre ses fonctions qu’une fois que le responsable de traitement l’a enregistré auprès de l’autorité de protection des données, qui tient à jour une liste des délégués à la protection des données, publiée sur son site Web.

Obligations et fonctions du CPD

Dans les trois systèmes étudiés, les CPD ont des obligations et des fonctions similaires :
• diffusion en interne des informations relatives à la loi de protection des données et actions de pédagogie ;
• supervision interne des traitements mis en œuvre ;
• tenue d’un registre des traitements mis en œuvre dans l’organisation ; le niveau de détail de ce registre peut être défini par la loi elle-même ;
• détection des problèmes potentiels au sein de l’organisation ;
• traitement des plaintes internes à l’organisation ;
• devoir de prendre contact avec l’autorité de protection des données en cas de problème identifié ou de doute sur un dossier ;
• rédaction d’un rapport annuel (aux Pays-Bas, ce rapport n’est pas systématiquement communiqué à l’autorité de protection des données mais doit être tenu à sa disposition ; des contrôles inopinés auraient été réalisés sur ce point) ;
• éventuellement rédaction de règlements, de standards et de codes de conduite internes à l’entreprise, relatifs aux traitements de données personnelles.

Relations avec les autorités de protection des données

Les CPD exercent par nature une profession proche de celle des autorités de protection des données, avec lesquelles ils entretiennent une relation privilégiée : les autorités allemande, suédoise et néerlandaise considèrent ainsi que les CPD constituent, pour eux, un relais extrêmement efficace de leur action. Un CPD véritablement indépendant et actif est, d’un avis commun, un atout considérable pour les autorités dont les moyens limités (en termes de personnel et de moyens financiers) ne permettraient pas un contrôle aussi étendu. A l’usage, il apparaît que les liens entre CPD et autorités sont plus ou moins resserrés selon les pays et l’organisation générale du système. Or, de la qualité de ces liens dépend manifestement la qualité du travail des CPD (et donc leur utilité et leur efficacité).

En Allemagne, l’animation d’un tel réseau paraît très difficile aux autorités, et ce pour différentes raisons. D’une part, aucune liste exhaustive n’existe qui donne les noms de tous les CPD désignés : toute prise de contact devient de ce fait très difficile. D’autre part la conséquence du caractère obligatoire de la désignation d’un CPD est que cette contrainte est ressentie comme une contrainte bureaucratique par les organisations : elle en est mal comprise et par conséquent, souvent mal mise en œuvre ; les CPD ne sont parfois même pas désignés. Enfin, la structure excessivement complexe des autorités de protection des données en Allemagne (distinction secteurs public/privé, fédéral/Länder) constitue une autre barrière à la constitution d’un réseau resserré.

En Suède et aux Pays-Bas, le système rencontre spontanément un franc succès. Toutefois, au vu de leur expérience, les autorités de protection suédoise et néerlandaise insistent fortement sur la nécessaire évaluation préalable des besoins à mettre en place au sein des autorités avant qu’un tel réseau de CPD ne soit mis en place, car l’autorité est entièrement responsable de son animation. A ce titre, l’on peut mentionner les initiatives suivantes :
• organisation par l’autorité de journées de rencontre, de séminaires et de conférences au bénéfice exclusif des CPD. Plus généralement, l’autorité doit mettre en place un système de formation continue pour ceux-ci (en Allemagne, il existe un système de cours optionnels) ;
• suivi des personnes désignées : quand l’autorité néerlandaise est informée d’une nouvelle désignation, elle appelle la personne au bout de quelque temps pour juger de la qualité du travail effectué (en posant des questions sur la société, son fonctionnement, les traitements mis en œuvre, etc.) ;
• une partie du site Web de l’autorité, en mode d’accès restreint, est réservé aux CPD ; le système offre toutes sortes d’informations mais également des groupes de discussion ;
• une newsletter électronique et un journal d’information spécifique sont envoyés très régulièrement aux CPD pour les tenir au courant des évolutions législatives en la matière et des décisions de l’autorité ;
• création au sein de l’autorité d’une hotline et d’un centre d’appels téléphonique dédiés aux CPD ;
• une personne est spécialement désignée au sein de l’autorité pour être la personne de contact pour les CPD ; cette personne est employée à plein temps à cette activité.

D’un avis général, la gestion et l’animation d’un tel réseau est une activité assez lourde pour l’autorité ; ceci serait toutefois la rançon du succès : les CPD sont des personnes généralement motivées qui veulent être en mesure d’exercer leurs fonctions de manière satisfaisante ; les autorités de protection des données sont, dans leur esprit, des partenaires quotidiens qu’ils doivent pouvoir contacter en toutes circonstances. Ces liens seraient aussi une garantie de l’indépendance des CPD : si ceux-ci se sentent soutenus dans leur action par les autorités, ils se sentent mieux armés pour défendre des positions parfois impopulaires auprès de la direction de leur organisation.

La première société de sous-traitance de la fonction de CPD vient de voir le jour en Europe. Elle répond sans conteste à tous les impératifs des diverses lois transposant les dispositions de la directive communautaire du 24 octobre 1995. C’est la solution vers laquelle semble se diriger bon nombre d’entreprises soucieuses de respecter ces nouvelles obligations et de ne pas s’encombrer d’un CPD difficilement gérable par une DRH sous les ordres de laquelle il ne peux pas théoriquement se trouver.